Vulnerabilidad en Angular (CVE-2025-50977)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

27/08/2025

Última modificación:

09/09/2025

Descripción

Se ha identificado una vulnerabilidad de inyección de plantillas que provoca Cross Site Scripting (XSS) reflejado en la versión 1.7.1, que requiere acceso de administrador autenticado para su explotación. La vulnerabilidad se encuentra en el parámetro &#39;r&#39; y permite a los atacantes inyectar expresiones maliciosas de Angular que ejecutan código JavaScript en el contexto de la aplicación. La falla puede explotarse mediante solicitudes GET al endpoint de resumen, así como mediante solicitudes POST a endpoints específicos de la interfaz Wicket, aunque el método GET facilita su uso como arma. Esta vulnerabilidad permite a los administradores autenticados ejecutar código arbitrario del lado del cliente, lo que podría provocar secuestro de sesiones, robo de datos o nuevos ataques de escalada de privilegios.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno